Bästa praxis för datasäkerhet och kryptering med Azure
I den här artikeln beskrivs metodtips för datasäkerhet och kryptering.
Metodtipsen baseras på konsensus och fungerar med aktuella funktioner och funktionsuppsättningar för Azure-plattformen. Åsikter och tekniker ändras med tiden och den här artikeln uppdateras regelbundet för att återspegla dessa ändringar.
Skydda data
För att skydda data i molnet måste du ta hänsyn till de möjliga tillstånd där dina data kan inträffa och vilka kontroller som är tillgängliga för det tillståndet. Metodtips för Azure-datasäkerhet och -kryptering gäller följande datatillstånd:
- I vila: Detta omfattar alla informationslagringsobjekt, containrar och typer som finns statiskt på fysiska medier, oavsett om de är magnetiska eller optiska diskar.
- Under överföring: När data överförs mellan komponenter, platser eller program överförs de. Exempel är överföring över nätverket, över en servicebuss (från lokal till moln och vice versa, inklusive hybridanslutningar som ExpressRoute) eller under en in-/utdataprocess.
- Används: När data bearbetas behåller de specialiserade AMD- och Intel-kretsuppsättningsbaserade virtuella datorerna för konfidentiell beräkning data krypterade i minnet med hjälp av maskinvaruhanterade nycklar.
Välj en nyckelhanteringslösning
Att skydda dina nycklar är viktigt för att skydda dina data i molnet.
Azure Key Vault hjälper till att skydda kryptografiska nycklar och hemligheter som används av molnprogram och molntjänster. Key Vault förenklar nyckelhanteringen och låter dig behålla kontrollen över nycklar som kommer åt och krypterar data. Utvecklare kan skapa nycklar för utveckling och testning på några minuter och sedan migrera dem till produktionsnycklar. Säkerhetsadministratörer kan bevilja (och återkalla) behörighet till nycklar efter behov.
Du kan använda Key Vault för att skapa flera säkra containrar, som kallas valv. Dessa valv backas upp av HSM:er. Med valv så minskar risken för att säkerhetsinformation förloras av misstag eftersom lagringen av hemligheter centraliseras. Nyckelvalv kontrollerar och loggar dessutom åtkomsten till allt som lagras i dem. Azure Key Vault kan hantera begäran och förnyelse av TLS-certifikat (Transport Layer Security). Den innehåller funktioner för en robust lösning för livscykelhantering av certifikat.
Azure Key Vault är utformat för att stödja programnycklar och hemligheter. Key Vault är inte avsett att vara ett arkiv för användarlösenord.
Nedan följer metodtips för säkerhet för att använda Key Vault.
Bästa praxis: Bevilja åtkomst till användare, grupper och program i ett visst omfång. Information: Använd fördefinierade Roller i Azure RBAC. Om du till exempel vill ge åtkomst till en användare för att hantera nyckelvalv tilldelar du den fördefinierade rollen Key Vault-deltagare till den här användaren i ett specifikt omfång. Omfånget i det här fallet skulle vara en prenumeration, en resursgrupp eller bara ett specifikt nyckelvalv. Om de fördefinierade rollerna inte passar dina behov kan du definiera dina egna roller.
Bästa praxis: Kontrollera vad användarna har åtkomst till. Information: Åtkomsten till ett nyckelvalv styrs via två separata gränssnitt: hanteringsplan och dataplan. Hanteringsplanets och dataplanets åtkomstkontroller fungerar oberoende av varandra.
Använd Azure RBAC för att styra vad användarna har åtkomst till. Om du till exempel vill bevilja ett program åtkomst för att använda nycklar i ett nyckelvalv behöver du bara bevilja åtkomstbehörigheter för dataplanet med hjälp av åtkomstprinciper för nyckelvalv och ingen åtkomst till hanteringsplanet behövs för det här programmet. Om du däremot vill att en användare ska kunna läsa valvegenskaper och taggar men inte har någon åtkomst till nycklar, hemligheter eller certifikat kan du ge användaren läsåtkomst med hjälp av Azure RBAC och ingen åtkomst till dataplanet krävs.
Bästa praxis: Lagra certifikat i ditt nyckelvalv. Dina certifikat har ett högt värde. I fel händer kan programmets säkerhet eller säkerheten för dina data komprometteras. Information: Azure Resource Manager kan distribuera certifikat som lagras i Azure Key Vault på ett säkert sätt till virtuella Azure-datorer när de virtuella datorerna distribueras. Genom att ange lämpliga åtkomstprinciper för nyckelvalvet kan du även kontrollera vem som får åtkomst till ditt certifikat. En annan fördel är att du hanterar alla dina certifikat på en och samma plats i Azure Key Vault. Mer information finns i Distribuera certifikat till virtuella datorer från kundhanterat Key Vault .
Bästa praxis: Se till att du kan återställa en borttagning av nyckelvalv eller nyckelvalvobjekt. Information: Borttagning av nyckelvalv eller nyckelvalvsobjekt kan vara oavsiktligt eller skadligt. Aktivera skyddsfunktionerna för mjuk borttagning och rensning i Key Vault, särskilt för nycklar som används för att kryptera vilande data. Borttagning av dessa nycklar motsvarar dataförlust, så du kan återställa borttagna valv och valvobjekt om det behövs. Öva key vault-återställningsåtgärder regelbundet.
Kommentar
Om en användare har deltagarbehörigheter (Azure RBAC) till ett nyckelvalvshanteringsplan kan de ge sig själva åtkomst till dataplanet genom att ange en åtkomstprincip för nyckelvalvet. Vi rekommenderar att du noga kontrollerar vem som har deltagaråtkomst till dina nyckelvalv för att säkerställa att endast behöriga personer kan komma åt och hantera dina nyckelvalv, nycklar, hemligheter och certifikat.
Hantera med säkra arbetsstationer
Kommentar
Prenumerationsadministratören eller ägaren bör använda en säker arbetsstation för åtkomst eller en arbetsstation för privilegierad åtkomst.
Eftersom de allra flesta attacker riktar sig mot slutanvändaren blir slutpunkten en av de primära angreppspunkterna. En angripare som komprometterar slutpunkten kan använda användarens autentiseringsuppgifter för att få åtkomst till organisationens data. De flesta slutpunktsattacker utnyttjar det faktum att användarna är administratörer på sina lokala arbetsstationer.
Bästa praxis: Använd en säker arbetsstation för hantering för att skydda känsliga konton, uppgifter och data. Information: Använd en arbetsstation med privilegierad åtkomst för att minska attackytan i arbetsstationer. Dessa säkra hanteringsarbetsstationer kan hjälpa dig att minimera vissa av dessa attacker och se till att dina data är säkrare.
Bästa praxis: Se till att slutpunktsskydd. Information: Framtvinga säkerhetsprinciper för alla enheter som används för att använda data, oavsett dataplats (moln eller lokalt).
Skydda data i vila
Vilande datakryptering är ett obligatoriskt steg mot datasekretess, efterlevnad och datasuveränitet.
Bästa praxis: Använd diskkryptering för att skydda dina data. Information: Använd Azure Disk Encryption för virtuella Linux-datorer eller Azure Disk Encryption för virtuella Windows-datorer. Diskkryptering kombinerar linux dm-crypt- eller Windows BitLocker-funktionen av branschstandard för att tillhandahålla volymkryptering för operativsystemet och datadiskarna.
Azure Storage och Azure SQL Database krypterar data i vila som standard, och många tjänster erbjuder kryptering som ett alternativ. Du kan använda Azure Key Vault till att behålla kontrollen över de nycklar som används för åtkomst till och kryptering av dina data. Du kan läsa mer i Krypteringsstöd för resursproviders i Azure för mer information.
Metodtips: Använd kryptering för att minimera risker som rör obehörig dataåtkomst. Information: Kryptera dina enheter innan du skriver känsliga data till dem.
Organisationer som inte tillämpar datakryptering är mer utsatta för problem med datasekretess. Till exempel kan obehöriga eller obehöriga användare stjäla data i komprometterade konton eller få obehörig åtkomst till data som kodats i rensat format. Företag måste också bevisa att de är noggranna och använder rätt säkerhetskontroller för att förbättra sin datasäkerhet för att följa branschreglerna.
Skydda data under överföring
Att skydda data under överföring är en viktig del av din dataskyddsstrategi. Eftersom data flyttas fram och tillbaka från många olika platser rekommenderar vi normalt att du alltid använder SSL/TLS-protokoll när du utbyter data mellan olika platser. I en del fall kan det vara bra att isolera hela kommunikationskanalen mellan den lokala och den molnbaserade infrastrukturen med en VPN-anslutning.
Du bör använda lämpliga skydd som HTTPS eller VPN för data som flyttas mellan den lokala infrastrukturen och Azure. När du skickar krypterad trafik mellan ett virtuellt Azure-nätverk och en lokal plats via det offentliga Internet använder du Azure VPN Gateway.
Här följer metodtips som är specifika för användning av Azure VPN Gateway, SSL/TLS och HTTPS.
Bästa praxis: Säker åtkomst från flera arbetsstationer som finns lokalt till ett virtuellt Azure-nätverk. Information: Använd plats-till-plats-VPN.
Bästa praxis: Säker åtkomst från en enskild arbetsstation som finns lokalt till ett virtuellt Azure-nätverk. Information: Använd punkt-till-plats-VPN.
Bästa praxis: Flytta större datamängder via en dedikerad WAN-länk med hög hastighet. Information: Använd ExpressRoute. Om du väljer att använda ExpressRoute kan du även bättra på skyddet genom att kryptera data på programnivå med hjälp av SSL/TLS eller andra protokoll.
Bästa praxis: Interagera med Azure Storage via Azure Portal. Information: Alla transaktioner sker via HTTPS. Du kan också använda STORAGE REST API via HTTPS för att interagera med Azure Storage.
Organisationer som inte skyddar data under överföring är mer mottagliga för man-in-the-middle-attacker, avlyssning och sessionskapning. Sådana attacker kan vara ett första steg i att få åtkomst till konfidentiella data.
Skydda data som används
Minska behovet av förtroende Köra arbetsbelastningar i molnet kräver förtroende. Du ger det här förtroendet till olika leverantörer som aktiverar olika komponenter i ditt program.
- Appprogramleverantörer: Lita på programvara genom att distribuera lokalt, använda öppen källkod eller genom att skapa intern programprogramvara.
- Maskinvaruleverantörer: Lita på maskinvara med hjälp av lokal maskinvara eller intern maskinvara.
- Infrastrukturleverantörer: Lita på molnleverantörer eller hantera dina egna lokala datacenter.
Att minska attackytan TCB (Trusted Computing Base) avser alla maskinvaru-, inbyggd programvara- och programvarukomponenter i ett system som ger en säker miljö. Komponenterna i TCB anses vara "kritiska". Om en komponent i TCB komprometteras kan hela systemets säkerhet äventyras. En lägre TCB innebär högre säkerhet. Det finns mindre risk för exponering för olika sårbarheter, skadlig kod, attacker och skadliga personer.
Konfidentiell databehandling i Azure kan hjälpa dig:
- Förhindra obehörig åtkomst: Kör känsliga data i molnet. Lita på att Azure ger bästa möjliga dataskydd, med liten eller ingen förändring jämfört med vad som görs idag.
- Uppfylla regelefterlevnad: Migrera till molnet och behåll fullständig kontroll över data för att uppfylla myndighetsregler för att skydda personlig information och skydda organisationens IP-adress.
- Säkerställa säkert och obetrott samarbete: Hantera problem i branschomfattande arbetsskala genom att kombinera data mellan organisationer, till och med konkurrenter, för att låsa upp bred dataanalys och djupare insikter.
- Isolera bearbetning: Erbjuda en ny våg av produkter som tar bort ansvaret för privata data med blindbearbetning. Användardata kan inte ens hämtas av tjänstleverantören.
Läs mer om konfidentiell databehandling.
Skydda e-post, dokument och känsliga data
Du vill kontrollera och skydda e-post, dokument och känsliga data som du delar utanför företaget. Azure Information Protection är en molnbaserad lösning som hjälper en organisation att klassificera, märka och skydda sina dokument och e-postmeddelanden. Detta kan göras automatiskt av administratörer som definierar regler och villkor, manuellt av användare eller en kombination där användarna får rekommendationer.
Klassificeringen kan identifieras hela tiden, oavsett var data lagras eller med vem de delas. Etiketterna innehåller visuella markeringar som sidhuvud, sidfot eller vattenstämpel. Metadata läggs till i filer och e-posthuvuden i klartext. Den tydliga texten säkerställer att andra tjänster, till exempel lösningar för att förhindra dataförlust, kan identifiera klassificeringen och vidta lämpliga åtgärder.
Skyddstekniken använder Azure Rights Management (Azure RMS). Den här tekniken är integrerad med andra Microsoft-molntjänster och -program, till exempel Microsoft 365 och Microsoft Entra ID. Den här skyddstekniken använder krypterings-, identitets- och auktoriseringsprinciper. Skydd som tillämpas via Azure RMS finns kvar i dokument och e-postmeddelanden, oberoende av platsen i eller utanför din organisation, nätverk, filservrar och program.
Den här informationsskyddslösningen ger dig kontroll över dina data, även när de delas med andra personer. Du kan också använda Azure RMS med dina egna verksamhetsspecifika program och informationsskyddslösningar från programvaruleverantörer, oavsett om dessa program och lösningar finns lokalt eller i molnet.
Vi rekommenderar att du gör följande:
- Distribuera Azure Information Protection för din organisation.
- Använd etiketter som återspeglar dina affärskrav. Till exempel: Använd en etikett med namnet "strikt konfidentiellt" för alla dokument och e-postmeddelanden som innehåller topphemliga data för att klassificera och skydda dessa data. Sedan kan endast behöriga användare komma åt dessa data, med eventuella begränsningar som du anger.
- Konfigurera användningsloggning för Azure RMS så att du kan övervaka hur din organisation använder skyddstjänsten.
Organisationer som är svaga när det gäller dataklassificering och filskydd kan vara mer mottagliga för dataläckage eller missbruk av data. Med rätt filskydd kan du analysera dataflöden för att få insikt i din verksamhet, identifiera riskfyllda beteenden och vidta korrigerande åtgärder, spåra åtkomst till dokument och så vidare.
Nästa steg
Se Metodtips och mönster för Säkerhet i Azure för mer metodtips för säkerhet som du kan använda när du utformar, distribuerar och hanterar dina molnlösningar med hjälp av Azure.
Följande resurser är tillgängliga för att ge mer allmän information om Azure-säkerhet och relaterade Microsoft-tjänster:
- Azure Security Team-blogg – för uppdaterad information om det senaste i Azure Security
- Microsoft Security Response Center – där Microsofts säkerhetsrisker, inklusive problem med Azure, kan rapporteras eller via e-post till secure@microsoft.com